Escalada de privilegios logrotate

Después de una tediosa jornada de cuarentena he aprovechado cada vez más el seguir aprendiendo, hoy les traigo una forma de Escalar privilegios a través de logratate


Pero déjenme les cuento un poco más; logrotate es un demonio que se ejecuta de forma autónoma para que los archivos de LOG de nuestras aplicaciones "roten" cuando consigan un tamaño concreto y así sea más legible para el administrador


Vulnerabilidad de forma gráfica


Como se muestra en el diagrama, dicho escenario puede explotarse si logrotate se ejecuta como usuario root y un usuario con pocos privilegios tiene el control de la ruta al directorio de registro. Si este usuario intercambia el directorio de registro con un enlace simbólico en el momento adecuado, logrotate escribirá el nuevo archivo en el directorio vinculado. Después de eso, los permisos del archivo creado se ajustarán y el atacante podría tener acceso de escritura a ese archivo. https://hackerone.com/reports/578119


Comprobémoslo, me encontré con un cuadro Linux en este caso soy el usuario reader y al enumerar procesos pude detectar que esta corriendo logratate con priv root.

Ingresamos a https://github.com/whotwagner/logrotten donde se encuentra nuestro exploit.

Y compilamos el logrotten.c , con el comando "gcc -o logrotten logrotten.c"


Cargamos nuestra carpeta logrotten a nuestra maquina victima junto nuestra carga util

En nuestra maquina levantamos nuestro escucha

Ejecutamos nuestro exploit, el cual llama nuestra carga útil y la ruta donde se encuentra Access.log

./logrotten -p ./payload /home/reader/backups/access.log

Y en otra terminal para activar el logrotate y se establezca un shell inverso



!Boom !



De esta manera nos creó una Shell con privilegios de administrador.



! Espero que les guste y sigan practicando !


Happy Hacking !!


Bl4ckSkull

47 vistas

HUB

HUB es un grupo líder en el ramo de capacitación y consultoría con mas de 100 colaboradores directos e indirectos a lo largo de la República Mexicana y America Latina

  • Facebook
  • Twitter

CDMX | TORRE REFORMA

 Paseo de la Reforma 483, Piso 14
Col. Cuauhtémoc

GUADALAJARA |  CENTRAL PARK

Diagonal  San Jorge 100,
Col. Vallarta San Jorge

MONTERREY | PABELLON M

 Juárez #1102 Pte, Piso 4 y 5
Col. Centro,

CDMX - QRO - GDL - MTY

Tel: 55 50150510

©2020 por Certification Hub. Es una empresa de Hub México